Le 10 décembre 2021, des chercheurs en sécurité ont découvert une vulnérabilité zero-day dans les bibliothèques de journalisation Java qui peut affecter des millions d'applications cloud et d'entreprise, publiée sous le nom de CVE-2021-44228, et sous les noms Log4Shell et LogJam. Affectant bien plus que Minecraft, cette vulnérabilité s'étend aux services cloud, d'Apple iCloud à Twitter et au-delà.
L'équipe BigID a réagi immédiatement et travaille depuis hier pour protéger nos clients des conséquences de l'exploit. Tous les services cloud BigID (y compris BigID Cloud, SmallID, BigID.me et Privacy Portal) sont actuellement protégés par des configurations de sécurité mises à jour pour continuer à se protéger contre cette vulnérabilité.
L’identification des risques et la garantie de la protection de nos clients sont notre priorité, et nous continuons à travailler directement avec nos clients pour fournir des conseils et un soutien afin de protéger leurs implémentations sur site.
Qu'est-ce que Log4j ?
Log4j est un logiciel open source Apache Framework de système de journalisation utilisé par les développeurs pour la tenue de registres au sein d'une application. Log4j est une bibliothèque Java largement utilisée dans les logiciels d'entreprise et les applications cloud, notamment Amazon, Apple iCloud, Tesla, Twitter, RedHat, Micecraft, etc.
CVE-2021-44228 il s'agit d'une vulnérabilité du logiciel Apache dans laquelle les attaquants peuvent envoyer du code malveillant qui peut potentiellement leur permettre de prendre le contrôle du serveur.
Log4Shell ou LogJam sont des exploits apparentés, et la vulnérabilité signifie qu'un attaquant peut envoyer stratégiquement une chaîne à enregistrer par Log4j - qui peut ensuite être utilisée pour prendre le contrôle d'un serveur à distance.
Nous continuerons de surveiller l’évolution de la situation et nous vous tiendrons informés de tout changement.